币币情报道:
近日,网络安全研究人员发现了一种新型的隐秘加密挖掘恶意软件,已感染超过3,500个网站。这些脚本通过悄悄劫持访问者的浏览器,生成注重隐私的加密货币——门罗币(Monero),而用户对此毫不知情。
与传统恶意软件不同,该恶意软件不会窃取密码或锁定文件,而是将用户的浏览器变成一个隐形的门罗币矿业引擎,未经用户同意便盗用少量处理能力进行加密货币挖掘。
据网络安全公司 c/side 的研究人员透露,这一活动最早被发现时仍在持续进行中。研究人员表示:“通过限制 CPU 使用率并隐藏 WebSocket 流中的流量,它避免了传统加密劫持的迹象。”c/side 在其披露中指出。
加密劫持(Cryptojacking)是一种未经授权使用他人设备挖掘加密货币的行为,通常在设备所有者不知情的情况下进行。这种策略最早于2017年末因 Coinhive 的兴起而引起广泛关注,Coinhive 是一家现已停业的服务,最终于2019年关闭。
近年来,关于加密劫持的患病率存在争议,但一些威胁研究实验室确认其在2019年的增长率达到29%。
“保持低调,缓慢开采”
五年多过去了,这种策略似乎正在悄然卷土重来:从嘈杂、占用大量 CPU 的脚本重新配置为专为隐身和持久性而设计的低调矿工。
当前的攻击活动并未导致设备过热或崩溃,而是悄无声息地蔓延到数千个站点,正如 c/side 所描述的那样,其目标是“保持低调,缓慢挖掘”。
一位匿名信息安全研究人员向解密透露,这种策略的转变并非偶然。该组织似乎正在重复利用旧的基础设施,以优先考虑长期访问和被动收入。
研究人员表示:“这些组织很可能已经控制了过去 Magecart 活动中被黑客入侵的数千个 WordPress 网站和电子商务商店。”Magecart 攻击是指黑客向在线结账页面注入恶意代码以窃取支付信息。
研究人员补充道:“植入矿工非常简单,他们只需添加一个脚本来加载混淆的 JS,并重新利用现有的访问权限。”
值得注意的是,这次活动运作得极其隐蔽,难以通过传统方法检测到。研究人员表示:“过去检测加密劫持脚本的方法之一是观察其高 CPU 使用率。然而,这波新攻击通过使用受限制的 WebAssembly 矿工避免了这种情况,这些矿工保持低调,限制 CPU 使用率并通过 WebSockets 进行通信。”
WebAssembly 能够使代码在浏览器中运行速度更快,而 WebSocket 则能够与服务器保持持续连接。两者结合使得加密货币矿工能够在不引起注意的情况下高效工作。
匿名研究人员还指出,此次攻击的主要风险并非直接针对加密货币用户,因为脚本并不会耗尽用户的钱包。“真正的目标是服务器和网络应用程序的所有者。”
快讯